岁末年初 网络协议欺骗攻防小结(3)

    1.RIP路由欺骗
    RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以最快的到达某一站点B，从而诱使发往B的数据包由A中转。由于A受攻击者控制，攻击者可侦听、篡改数据。

    RIP路由欺骗的防范措施主要有：路由器在接受新路由前应先验证其是否可达。这可以大大降低受此类攻击的概率。但是RIP的有些实现并不进行验证，使一些假路由信息也能够广泛流传。由于路由信息在网上可见，随着假路由信息在网上的传播范围扩大，它被发现的可能性也在增大。所以，对于系统管理员而言，经常检查日志文件会有助于发现此类问题。

    2.IP源路由欺骗
    IP报文首部的可选项中有“源站选路”，可以指定到达目的站点的路由。正常情况下，目的主机如果有应答或其他信息返回源站，就可以直接将该路由反向运用作为应答的回复路径。

    主机A（假设IP地址是192.168.100.11）是主机B（假设IP地址为192.168.100.1）的被信任主机，主机X想冒充主机A从主机B获得某些服务。首先，攻击者修改距离X最近的路由器G2，使用到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗（把数据包的源地址改为192.168.100.11）向主机B发送带有源路由选项（指定最近的G2）的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在的网络，X可在其局域网内较方便地进行侦听，收取此数据包。

    防范IP源路由欺骗的好方法主要有：
    1.配置好路由器，使它抛弃那些由外部网进来的、声称是内部主机的报文；
    2.关闭主机和路由器上的源路由功能。